Proxy Dienste auf internem Screenung Router?
Jochen Gensch
Ich lese seit einiger Weile Informationen üben DMZ, und wo man welche
Dienste am besten platziert und warum. Dazu bleiben aber ein paar
Frage weiterhin offen bei mir.
Angenommen ich habe zwei Screening Router, einen extern z.B. am
Internet, einen intern vor dem eigentlichen internen Netz. Dazwischen
meine DMZ mit Bastion Hosts die z.B. ftp Server und http Server und
smtp Server anbieten.
Angenommen ich möchte jetzt den Zugriff von innen nach aussen weiter
einschränken und möchte dazu einen http Proxy aussetzen. Ich lese nun
immer, man solle den von dem internen Screening Router (also mit
Paketfilter) trennen und auch auf einen Bastion Host in die dmz legen.
Aber ich verstehe bis jetzt nicht wieso. Sicher, die Aufgabenbereiche
eines Proxies und eines Paketfilters sind teilweise sehr verschieden.
Aber was spricht dagegen, diesen (hier) http Proxy mit auf den
internen Screening Router zu legen?. Von aussen nach innen kann ja
keiner an den Proxy dran, also kann ich nicht als einfaches
Sprungbrett in das interne Netz nutzen, da ich ihn ja einfach mit dem
Paketfilter abschirmen kann.
Wäre dankbar wenn mir einer diese Architekturfrage erklären könnte.
Danke und Gruss, Jochen